Hedera借贷协议Bonzo Lend遭攻击,损失超900万美元
预言机漏洞致借贷协议遭巨额盗取,损失逾九百万美元
在2026年7月11日,基于Hedera网络的借贷协议Bonzo Lend遭遇严重安全事件,造成约905万美元资产流失。攻击者通过向Supra预言机合约提交虚假价格信息,将仅值数美元的250枚SAUCE代币虚报为高价值抵押品,从而获取超额借款额度。
虚假价格触发大规模借贷行为
攻击者利用被篡改的预言机数据,成功从Bonzo Lend中提取了总计约663万枚USDC及超过3450万枚封装HBAR。该操作在虚假价格上传至主网后的八秒内完成。协议于UTC时间01:41紧急暂停借贷功能,并在当日稍晚关闭Bonzo Points系统,其余模块如Vaults、Bridge及单边质押仍维持运行。
零签名绕过验证机制成关键破绽
事件根源被追溯至Supra验证器对签名输入的校验缺陷。攻击者提交的数据携带无效的零签名,而验证器未正确识别并拒绝该异常输入。由于配对检查逻辑中两个零值均指向数学恒等点,系统误判其为有效委员会签名,致使伪造价格被广播至Hedera主网。事后Supra已在主网上修复相关合约。
借贷合约按设计执行,无自身漏洞
Bonzo团队强调,其借贷合约严格遵循预设代码逻辑,仅依赖经授权的预言机数据源。在收到被操控的价格后,系统依规计算抵押率并放款,未发现合约层面缺陷。调查排除了闪电贷攻击与市场操纵等常见路径,确认问题源于外部数据源失真。
白帽响应者主动联系,部分资金或可追回
在异常价格波动期间,另一账户借出约100万美元。该钱包随后主动联系项目方,自称为白帽安全研究人员,并承诺归还所借资产。尽管此金额尚未计入最终损失总额,但追回进展仍在协商中,官方报告尚未确认归还状态。
跨链转移引发资产追踪挑战
在事件披露前,安全研究团队监测到超过580万美元资金通过LayerZero桥从Hedera转移至以太坊网络。部分资产被转换为以太币,同时伴随HBAR代币价格下跌超2%。此次跨链流动加剧了资产追回难度。
价格恢复及时,但影响已造成
Bonzo的预言机文档显示,其对包括SAUCE、HBARX、XSAUCE、DOVU、PACK、KARATE、STEAM和HST在内的多组交易对采用Supra数据源。此次攻击仅波及SAUCE对。合法价格在UTC时间01:36恢复至约0.1964 HBAR,早于借贷池暂停五分钟。尽管如此,损害已不可逆。
后续行动与系统恢复规划
Bonzo Finance Labs与Bonzo Finance Foundation正联合多方开展资产追索、漏洞修复及流动性提供者提款方案设计。目前尚未公布重新开放借贷池的具体时间表,但团队承诺将透明推进所有恢复流程。
一分钟读懂:基于Hedera的借贷协议Bonzo Lend因预言机数据被操纵导致约905万美元资产被盗。攻击者利用零签名漏洞抬高SAUCE价格,借出大量USDC与HBAR。协议已暂停服务,团队正推进追回与修复工作。
